De it-dienstverlener Solvinity draait DigiD en andere ict-rijksdiensten in een datacenter van Equinix in Amsterdam. Logius, opdrachtgever van deze diensten, erkent dat de Amerikaanse exploitant onder druk van de Amerikaanse overheid de levering van stroom, koeling en ruimte kan beperken, wat de dienstverlening kan verstoren. Momenteel onderzoekt Logius of de bestaande afspraken en risico’s nog passend zijn in de huidige geopolitieke context.

Het Rijk beschikt over vier overheidsdatacenters (ODC). Twee daarvan zijn volledig in overheidshanden, terwijl ODC Noord draait binnen het Nederlandse datacenter van NorthC in Groningen. ODC RWS/DJI, ook wel ODC Amsterdam genoemd, huurt sinds 2013 ruimte in twee datacenters van Equinix in Amsterdam. Equinix is een Amerikaanse onderneming en valt daarmee onder Amerikaanse wetgeving zoals de Cloud Act en Fisa Act, die de digitale soevereiniteit van Europa kunnen bedreigen.

De recente overname van Solvinity door de Amerikaanse Kyndryl leidde tot zorgen over DigiD-beheer in Amerikaanse handen. Minder belicht is dat het Logius-platform al enkele jaren in het ODC Amsterdam bij Equinix is ondergebracht. Volgens Logius is het datacenter een aanbesteedde omgeving waar diverse overheidsorganisaties gebruik van maken. Overheidsmedewerkers beheren het floormanagement, waaronder racks, kabels, ruimte en koeling, om de veiligheid en overzichtelijkheid te waarborgen. Toch is het theoretisch mogelijk dat Equinix invloed kan uitoefenen op de beschikbaarheid van de omgeving en zo de dienstverlening kan verstoren. Toegang tot DigiD-gegevens door Equinix is echter uitgesloten.

Equinix levert facilitaire diensten zoals stroom, koeling en ruimte. Het contract met deze exploitant is gericht op continuïteit en wordt zorgvuldig gehandhaafd om uitval te voorkomen. Logius erkent dat in de huidige geopolitieke situatie internationale beïnvloeding via een Amerikaanse leverancier niet ondenkbaar is. Daarom wordt onderzocht of de bestaande afspraken en risico’s nog aansluiten bij de huidige wereld. Politieke keuzes en overheidsregels spelen hierbij een rol. Logius benadrukt dat veiligheid en betrouwbaarheid van gegevens van Nederlandse burgers altijd voorop staan en dat het gebruik van een ander overheidsdatacenter een mogelijke maatregel is.

De geopolitieke risico’s gelden volgens Logius breder voor alle vitale it-systemen die samenwerken met niet-Europese partijen, waaronder andere Amerikaanse datacenter-exploitanten en hyperscalers. Op vragen aan Equinix over deze digitale-soevereiniteitsvraagstukken is na bijna twee maanden nog geen reactie ontvangen. Het is onduidelijk of de Amerikaanse overheid het concern kan dwingen tot beperkingen zoals het afsluiten van stroom of koeling, en of hierover garanties aan klanten zoals Logius zijn gegeven.